автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка и исследование методов и алгоритмов автоматического построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа в сети

На правах рукописи

Мордвин Денис Валериевич

РАЗРАБОТКА И ИССЛЕДОВАНИЕ МЕТОДОВ И АЛГОРИТМОВ АВТОМАТИЧЕСКОГО ПОСТРОЕНИЯ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ ЭКРАНОВ, АДЕКВАТНЫХ ЗАДАННОЙ ПОЛИТИКЕ РАЗГРАНИЧЕНИЯ ДОСТУПА В

СЕТИ

05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Таганрог-2010

4842990

Работа выполнена на кафедре безопасности информационных технологий факульте информационной безопасности Технологического института Южного федерально университета в г. Таганроге.

Научный руководитель:

доктор технических наук, профессор Макаревич Олег Борисович

Официальные оппоненты:

доктор технических наук, профессор Копытов Владимир Вячеславович

(г. Ставрополь);

кандидат технических наук, доцент Спиридонов Олег Борисович (г. Таганрог)

Ведущая организация:

МГТУ им. Н.Э. Баумана, г. Москва ,

Защита диссертации состоится «13» декабря 2010г. в 14.20 на заседай диссертационного совета Д 212.208.25 Южного федерального университета по адресу: 3479 Ростовская обл., г. Таганрог, ул. Чехова, 2, ауд. И-409.

Отзывы на автореферат в двух экземплярах, заверенные гербовой печатью, прос направлять по адресу: 347928, Ростовская обл., г. Таганрог, пер. Некрасовский, Технологический институт Южного федерального университета в г. Таганроге, Учён секретарю диссертационного совета Д 212.208.25 Брюхомицкому Юрию Анатольевичу.

С диссертацией можно ознакомиться в Зональной научной библиотеке ЮФУ по адре 344007, Ростовская обл., г. Р( ™ ™

Автореферат разослан «

Ученый секретарь диссе

яохомицкий I

БЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования

Межсетевые экраны (МЭ) - программные или программно-аппаратные средства, редназначенные для создания защищенного периметра ЛВС организации с контролируемыми очками входа и защищенного подключения корпоративной сети к сетям общего пользования, акже МЭ выполняют функции разграничения доступа к ресурсам внутри корпоративной сети обеспечения контроля информационных потоков между различными сегментами сети.

Функции МЭ могут быть реализованы его различными компонентами, такими как акетный фильтр, шлюз сеансового уровня, шлюз уровня приложений. Данная работа освящена исследованию пакетных фильтров. В дальнейшем, под термином межсетевой экран удет подразумеваться именно пакетный фильтр и его особенности.

Пакетный фильтр пропускает через себя весь трафик, принимая для каждого проходящего акета решение, пропускать его или нет на основании списка правил фильтрации. Правша шътрации - правила МЭ, которые определяют возможность прохождения через данный МЭ етевого трафика с заданными параметрами. Основными параметрами трафика, по которым роисходит фильтрация, являются сетевые адреса источника и цели пакетов трафика, сетевые орты источника и цели, протокол передачи трафика.

Правила фильтрации межсетевых экранов в сети должны выражать политику азграничения доступа на сетевом уровне. Такая политика определяет возможность рохождения сетевого трафика между всеми узлами сети. Как было сказано, в сети данная олитика выражается множеством распределенных правил фильтрации трафика С другой троны данная политика может быть логически представлена единым множеством правил, ¿зависимых от МЭ. В данной работе такие правила названы правилами политики ограничения доступа.

Построение правил фильтрации для МЭ в сети является важным этапом обеспечения ■тсвой безопасности. Такая задача возлагается на специалистов, знающих особенности ицищаемой сети и используемых межсетевых экранов.

Сложность задачи построения правил фильтрации определяется следующими факторами:

- количество узлов в сети, между которыми необходимо разграничить доступ определяет •обходимое количество правил;

- узлы сети, которыми оперируют правила, могут быть как отдельными узлами, так и шпазонами узлов, которые в свою очередь могут содержать другие узлы и их диапазоны, ерархичность определения узлов с одной стороны позволяет уменьшить необходимое ¡личество правил, но с другой стороны может привести к противоречиям между правилами;

- маршрутизация и топология сети определяют траектории достижимости между узлами •ти. Траектории между узлами определяют множество МЭ, в списки которых могут быть >бавлены соответствующие правила. Количество траекторий определяют сложность определения правил между МЭ;

- сложность верификации политики разграничения в сети. Процедура проведения ■рификации разграничения доступа на сетевом уровне не стандартизирована, требует >льших временных затрат;

- различия синтаксиса правил для МЭ разных производителей. Специалист должен знать ■обенности конфигурирования всех МЭ, используемых в сети.

Сложность построения списков правил фильтрации приводит к проблемам шфигурирования правил, которые включают в себя проблемы несогласованности и ¡быточности правил. Под несогласованностью правил понимаются такие противоречия 1авил, когда результат фильтрации трафика зависит от порядка определенного подмножества )авил. Несогласованность правил может приводить к ошибкам первого и второго рода для

МЭ и, таким образом, неверному разграничению доступа в сети. Под избыточностью прави. понимается проблема использования большего количества правил фильтрации для выражсш» политики разграничения доступа там, где можно использовать их меньшее количество.

В работе "Исследование количественных показателей для ошибок конфигурировани межсетевых экранов" автором, известным специалистом по МЭ Авишай Вулом, проведет исследование множества межсетевых экранов в локальных сетях различных предприятий i установлено, что все межсетевые экраны имели ошибки конфигурирования и были уязвимы.

Результаты исследования противоречий для конфигураций МЭ специалистам! Университета Северной Каролины показали, что для правил фильтрации, разработанны экспертами характерны в среднем 3% проблем несогласованности и 5% проблеи избыточности. Для опытных специалистов доля несогласованности правил составляет 4% о их общего количества, избыточности - 9%. Для правил, разработанных начинающим! специалистами, характерны в среднем 13% проблем несогласованности и 12% проблс.\ избыточности. Также в работе показана зависимость производительности межсетевых экрано от количества используемых правил, которая свидетельствует о возможностях отказов обслуживании межсетевых экранов при избыточном использовании правил.

Проблематикой конфигурирования правил фильтрации занимаются многие ученные специалисты из разных стран: C.B. Лебедь - МГТУ им. Н.Э. Баумана, Авишай Вул - профессо Университета Телль-Авива, Ехаб Аль-Шаир - ассоциированный профессор Университет Северной Каролины, Риккардо Оливьера - профессор Университета Карнеги Мелон, Хуон Ким - профессор Университета Карнеги Мелон, Жоаквин Алфаро - Карлетонский Университс Оттавы, Роберт Марморстейн - ассоциированный профессор Лонгвудского университет' Алекс Луи - ассоциированный профессор Мичиганского Государственного университета.

Для решения проблем конфигурирования правил этими авторами разработаны метод! автоматического анализа и построения списков правил фильтрации МЭ.

Входными параметрами методов автоматического анализа правил являются топологи защищаемой сети и списки используемых правил фильтрации. Результатом работы методо являются наборы рекомендаций, на основе которых должны быть вручную внесен! корректировки для существующих правил. Основным недостатком данных методов являете отсутствие возможности проверки разграничения доступа, формируемого правилами. Такж можно выделить следующие недостатки:

- необходимость разработки правил вручную;

- отсутствие возможности автоматического исправления ошибок для правил;

- частичное обнаружение ошибок согласованности правил;

- итеративность процесса корректировки правил, то есть после внесения каждог исправления в правила необходима их повторная проверка анализатором.

Отсутствие возможности проверки разграничения доступа, образуемого правилам фильтрации, для существующих методов анализа правил обусловлено отсутствие, информации о заданной политике разграничении доступа в сети.

Использование информации о политике разграничении доступа в сети в качеств основополагающей для правил фильтрации привело к появлению методов автоматическое построения правил. Такие методы позволяют рассчитать правила фильтрации М» распределить их в сети по заданной политике разграничения доступа.

В данной работе вводится понятие адекватности правил фильтрации заданной полити разграничения доступа, которое выступает основным критерием качества правил фильтрацш Под адекватностью правил фильтрации в данной работе понимается однозначное соответстви списков правил фильтрации распределенных в сети МЭ политике разграничения доступа сети. Главным условием адекватности правил фильтрации политике являет непротиворечивость самой политики. Если политика неоднозначно определяет разграничен

ступа, го и рассчитанные по такой политике правила будут неоднозначны. Вторым условием екватности правил является согласованность правил фильтрации как внутри списка одного Э так и между различными МЭ в сети. Таким образом, для правил фильтрации должны быть ранены ошибки несогласованности. Только при соблюдении данных условий рассчитанные авила могут быть адекватны политике. Адекватность правил должна быть верифицирована тем сравнения заданной политики разграничения доступа с фактической политикой, ормируемой правилами фильтрации в сети.

Вторым критерием качества правил фильтрации выступает эффективность их определения между множеством МЭ в сети. Под эффективностью распределения правил нимается такое распределение правил между МЭ, при котором в список правил каждого МЭ дет включено такое количество правил, при котором МЭ способен обеспечить требуемую оизводительность. Под производительностью МЭ понимается количество данных, рабатываемых МЭ в секунду. Производительность МЭ зависит от используемого количества авил. При превышении некоторого порогового значения количества используемых правил, Э не может поддерживать требуемую производительность, что приводит к его отказам в >служивании. Под отказами в обслуживании понимаются потери пакетов на МЭ, либо опуск необработанных пакетов. В первом случае будет получено снижение оизводительности сети в целом, во втором случае - нарушение политики разграничения >ступа. Избыточность между правилами усложняет расчет их эффективного распределения и >лжна быть предварительно устранена.

Существующие методы автоматического построения правил не отвечают критериям (екватности правил и эффективности их распределения. Таким образом, актуальной является ача разработки методов и алгоритмов автоматического построения правил фильтрации МЭ, • имеющих данных недостатков.

Целью работы является разработка и исследование методов и алгоритмов построения завил фильтрации межсетевых экранов, адекватных заданной политике разграничения >ступа. Исходя из основной цели данной работы, определяется перечень решаемых задач:

1. Разработка модели представления сети.

2. Разработка модели представления политики разграничения доступа в сети и ц оритмов построения данной модели.

3. Разработка и исследование алгоритмов обнаружения и устранения проблем >гласованности и избыточности для правил разграничения доступа.

4. Разработка модели распределения правил разграничения доступа в сети и алгоритма (счета эффективного распределения множества правил фильтрации между межсетевыми ранами в сети.

5. Разработка алгоритма проверки адекватности рассчитанных правил фильтрации щнной политике разграничения доступа в сети.

6. Разработка методики экспериментальной оценки метода построения правил иьтрации.

В рамках исследования используются методы теории вычислительных систем и сетей, ории множеств, теории графов, теории математического моделирования, генетических горитмов.

Объектом исследования является фильтрация трафика в локальных сетях.

Предметом исследования являются методы и алгоритмы построения правил фильтрации афика.

Научная новизна работы заключается в следующем:

1. Разработан новый метод автоматического построения правил фильтрации для ■жсетевых экранов, который использует ориентированное дерево правил для представления шитики разграничения доступа. Данный метод позволяет устранить проблемы

несогласованности и избыточности для правил заданной политики разграничения доступа сети. Непротиворечивое представление политики разграничения доступа в сети позволяй-рассчитать адекватное и согласованное множество правил фильтрации МЭ.

2. Разработаны новые алгоритмы обнаружения и устранения проблс. несогласованности и избыточности для правил разграничения доступа в сети, котори имеют логарифмический порядок сложности.

3. Разработан алгоритм расчета эффективного распределения правил фильтрации сети, который впервые учитывает зависимость производительности МЭ от количеств используемых правил и позволяет предотвратить отказы в обслуживании для МЭ.

Практическая ценность полученных автором результатов

1. Разработанный метод построения правил фильтрации позволяют автоматическ рассчитать множество согласованных и эффективно распределенных правил фильтрации дл МЭ в сети для обеспечения заданной политики разграничения доступа на сетевом уровне.

2. Разработана статическая модель сети, которая позволяет рассчитать и представить ка заданное, так и фактическое разграничение доступа в сети.

3. Разработаны новые алгоритмы, реализующие операции сложения и вычитани множеств правил фильтрации, которые впервые позволяют устранять такой ти избыточности правил, как многословпостъ. Разработанные алгоритмы могут быт использованы совместно с различными существующими методами анализа и построен и правил фильтрации.

Основные положения, выносимые па защиту

1. Разработанный метод автоматического построения правил фильтраци межсетевых экранов позволяет обнаружить и устранить несогласованность и избыточное! для правил, выражающих заданную политику разграничения доступа в сети.

2. Разработанный метод автоматического построения правил фильтраци межсетевых экранов позволяет рассчитать множество непротиворечивых правил фильтраци для межсетевых экранов в сети, адекватных заданной политике разграничения доступа.

3. Разработанный метод автоматического построения правил фильтраци межсетевых экранов позволяет предотвратить отказы в обслуживании для межсетевы экранов, распределяя правила фильтрации между ними с учетом их сетевой нагрузки производительности.

Использование результатов. Основные результаты исследований были использованы и кафедре Безопасности информационных технологий ТТИ ЮФУ при проведении следующи научно-исследовательских и опытно-конструкторских работ: "Неман", "Центр-1 ТИ".

Достоверность полученных результатов подтверждается строгостью математически выкладок, результатами экспериментов с разработанными программными реализациями.

Апробация работы. По теме диссертации опубликовано 11 научных статей и тезисо докладов, из них в журналах, рекомендуемых ВАК - 2. Основные результаты, полученные ходе работы над диссертацией, были представлены на:

1. VII Всероссийской научно-практической конференции студентов, аспирантов молодых ученых «Молодежь и современные информационные технологии». Томск, 2009 г.

2. XI международной научно-технической конференции «Кибернетика и высоки технологии XXI века», Воронеж, 2010 г.

3. XI международной научно-практической конференции «Информационна безопасность-2010», Таганрог, 2010 г.

4. The 3rd International Conference of Security of Information and Networks (SIN'10 Таганрог, 2010 г.

Объем и структура диссертации. Диссертация состоит из введения, четырех гла1 заключения, списка литературы. Материал изложен на 121 странице машинописного текст'

одержит 48 рисунков и 10 таблиц, список литературы состоит из 66 источников.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы, сформулированы её цель, научная овизна, приведены сведения о практическом использовании полученных научных езультатов и представлены основные положения, выносимые на защиту.

В первой главе определяются основные понятия, относящиеся к теме работы, пределяются основные сложности решения поставленной задачи, выделяются границы сследования. Приводится обзор существующих подходов к решению поставленной роблемы. Формулируются задачи диссертации.

Определены основные понятиями, относящиеся к теме работы, такие как понятие ежсетевого экрана, пакетной фильтрации, адресации и маршрутизации в сети.

Проанализированы основные сложности построения разграничения доступа в сети, такие ак проблемы конфигурирования правил и контроль разграничения доступа в сети.

Проблемы конфигурирования правил фильтрации - это проблемы в проектировании и остроении списков правил, приводящие к избыточности правил, их противоречиям и язвимостям разграничения доступа. Проблемы конфигурирования правил классифицируются юдующим образом:

- несогласованность правил в внутри одного списка правил:

- затенение между правилами. Выявляется, когда все пакеты, которые одно правило амеревается запретить (разрешить) разрешены (запрещены) предшествующим правилом, усть правило А предшествует правилу В в списке правил. Тогда правило В будет затенено равилом А, если выполняется условие:

(АпВ = В) д (action(B) Ф action(A));

- обобщение между правилами. Выявляется, когда подмножество пакетов ^овлетворяющих текущему правилу, было исключено предшествующим правилом. Ошибка "общения противоположна затенению. Пусть правило А предшествует правилу В в списке равил. Тогда правило В будет обобщать правило А, если выполняется условие:

(АпВ = А) л(action(B) Ф action(A))■

- пересечение правил. Выявляется, когда текущее правило пересекается с эедшествующими правилами, но определяет иную реакцию. Для правил А и В в списке равил будет определено пересечение, если выполняется условие:

{Ап,В - D) л.(А Ф D /\В Ф D)/\ (.action (В) Ф action (А)).

- несогласованность меяоду правилами в последовательности списков правил, ыявляется когда проблемы затенения, обобщения или пересечения встречаются между

авилами, которые принадлежат спискам разных МЭ;

- несогласованность между правилами в пересекающихся цепочках списков правил, ыявляется, когда для разных траекторий в сети достижимость между парой узлов различна;

- избыточность правил. Под избыточностью правил понимается проблема ■пользования большего количества правил фильтрации для выражения политики ■ граничения доступа там, где можно использовать меньшее их количество. Избыточность >авил может приводить к снижению производительности МЭ и их отказам в обслуживании, уществуют следующие категории избыточности правил:

- неиспользуемые правила. Определяется, когда удаление подмножества правил не шяет на результаты фильтрации пакетов. Для правил А и В в списке правил правило А будет ¡быточно, если выполняется условие:

(AnВ = А)л(action(B) - action(A));

- многословность правил. Определяется тогда, когда некоторое подмножество прапи. может быть заменено меньшим подмножеством, не оказывая влияния на результат! фильтрации пакетов.

Далее в первой главе работы приведен анализ существующих методов и подходов построению и анализу правил фильтрации МЭ, приведен анализ их основных недостатко! сделан вывод об актуальности задачи построения и оптимизации правил фильтрации Ml Описана постановка цели и задач работы.

Во второй главе представлен разработанный метод автоматического построения прави. фильтрации. Входными данными для метода являются параметры защищаемой сети политика разграничения доступа для неё. Результат работы метода - набор списков прави. фильтрации для МЭ в заданной сети. Списки правил не содержат ошибок конфигурировали правил и эффективно распределены между МЭ в сети. Разграничение доступа в cei'i формируемое рассчитанными правилами фильтрации, адекватно заданной политик разграничения доступа

Метод определяет следующую последовательность шагов:

1. Построение статической модели защищаемой сети. Данная модель описывае статические характеристики сети, такие как топология, множество узлов сети, и. расположение, характеристики и связность друг с другом, правила маршрутизации фильтрации в сети. Математически модель сети можно определить как набор множест статических параметров, характерных для реальной сети.

М = (N, L, R, IP, PORTS, PROTOCOLS ),

где М - модель сети, N — множество узлов в сети, L - множество связей в сети, R множество правил в сети, IP - множество адресов в сети, PORTS - множество портов в сет {0..65535}, PROTOCOLS - множество протоколов, используемых в сети {IP, ICMP, TCI UDP}.

Каждый узел в сети характеризуется адресом, типом и узлом сети, которому о принадлежит.

п е N,n = <ip € IP,t € T,ri e N)\

T e {Подсеть, Диапазон, Хост, Коммутатор, Маршрутизатор, МЭ},

где ip — множество адресов узла, Т - тип узла, п' - узел сети, для которого узле п являете вложенным. При этом вложенным может быть любой узел сети, а родительскими, тольк узлы-подсети и узлы-диапазоны.

Множество связей представляет собой множество пар узлов, которые связаш напрямую в сети: L = ((п,, п2 ))

Множество правил в модели представлено множеством правил фильтрации маршрутизации:

где PR - множество правил маршрутизации в сети, PF - множество правил фильтрации

сети.

Правила фильтрации определяется на модели сети между множеством оконечных точек сети. Оконечная точка V определяется как:

V = (п е N,port е PORTS, protocol е PROTOCOLS)

Таким образом, правило фильтрации в модели определяется как набор из оконечно точки источника, оконечной точки цели и действия, задаваемого правила дл удовлетворяющих правилу запросов:

р/ 6 PF, р/ = (пг, У5, Уа, а е {Разрешить, Запретить}),

где пг — объект, которому принадлежит правило, У5 - оконечная точка источника, -конечная точка цели, а - действие правила

Правила маршрутизации в модели определяют направления в сети для достижимости

еждуобъектами: РГ 6 РК^Г = <Пг>"<»»А

где п, - объект, которому принадлежит правило, п^ - объект-цель, пга - объект, в аправлении к которому необходимо двигаться для достижения цели.

2. Построение модели представления заданной политики разграничения доступа в сети. остроение такой модели выполняется на основе модели заданной сети. Для каждой пары конечных точек модели заданной сети должно быть определено разграничение доступа ежду ними. При таком определении разграничения доступа не важны такие характеристики ти, как адреса узлов, множество траекторий достижимости и количество МЭ между узлами.

Для представления заданной политики разграничения доступа определены правила азграничения доступа (ПРД) в сети. ПРД аналогичны правилам фильтрации в модели, за сключением независимости ПРД от межсетевых экранов в сети. Для предложенной модели азграничения доступа определено, что возможность доступа между любыми парами конечных точек сети определяется множеством ПРД.

Для представления всего множества ПРД определена структура ориентированного ерева. Использование структуры дерева позволяет учесть вложенность ухтов сети, азработать алгоритмы поиска ошибок конфигурирования правил с логарифмическим орядком сложности. Дерево правил формируется по следующему принципу. В корне дерева асиолагается правило разграничения доступа по умолчанию. Далее в дереве следуют правила, гочняющие разграничение доступа между оконечными точками сети, если требуемое азграничение доступа для них отлично от задаваемого родительским правилом. Правила вляются братьями в дереве, если они не пересекаются. Правило является родительским узлом дереве для других правил, если оно обобщает их. Пример дерева правил доступа представлен а рисунке 2.

При построении политики разграничения доступа должен выполняться контроль её спротиворечивости. В третьей главе данной работы представлен алгоритм построения дерева 1РД, реализующий данное требование.

Разграничение доступа в сети можно определить как граф:

СТ = {У,Б),У = {г1,У2,...Ги},£СУХУ, где V - множество оконечных точек в сети, Е - множество ребер графа, где каждое ребро пределяет разрешение доступа для пары оконечных точек.

Рисунок 1 - Представление списка правил разграничения доступа в виде дерева

9

Заданное разграничение доступа в сети может быть легко рассчитано путем прямог обхода дерева ПРД. Алгоритм, реализующий данный расчет, представлен в третьей глав работы.

3. Удаление избыточности для множества правил. Данный шаг основан на алгоритма удаления неиспользуемых правил, сложения и вычитания правил. Данные алгоритм! представлены в третьей главе работы.

4. Расчет эффективного распределения множества правил фильтрации для МЭ в сепи выражающих заданное разграничение доступа. Метод определяет следующие принцип! распределения правил фильтрации между множеством фильтров на траектория достижимости между узлами:

- Разрешающие правила должны быть добавлены к каждому МЭ на траектория достижимости.

- Запрещающие правила должны быть распределены между возможными траекториям достижимости так, чтобы ограничивать доступ для каждой траектории.

Так как траектории достижимости для одних источников и целей в большинстве случае частично совпадают либо пересекаются, то описание корректного распределения правил между МЭ представляет собой нетривиальную задачу. В данной работе предложено принцш распределения правил можно записать в виде предиката распределения правила в сстг Предикат распределения правила представляет собой булеву функцию, отображающую:

- Множество МЭ, принадлежащих траекториям достижимости между оконечным точками правила. Правило фильтрации будет выполнять функцию разграничения доступ; только если будет включено в списки правил фильтрации МЭ, входящих в данное множество.

- Подмножества МЭ, в списке правил которых данное правило должно быть включен совместно для полноценного выполнения функции разграничения доступа для все траекторий достижимости. Минимально достаточно, чтобы правило было применено к одном из подмножеств МЭ, определенных предикатом. В предикате распределения правил МЭ включенные в данные подмножества образуют конъюнкцию, а сами подмножества • дизъюнкцию.

Таким образом, предикат распределения правил представляет собой дизъюнктивнуи нормальную форму и имеет следующий вид:

Р/ 6 Л Р2 Л ..Л V Л Л .. Л

где ^ - множество правил ¡-го МЭ. Тогда предикат распределения правил можш описать в виде булевой функции предикатов включения правила в списки единичных МЭ Конкретный вид такой функции будет определяться траекториями достижимости межд. оконечными точками правила Предикат фильтров для разрешающего правила — эт( конъюнкция всех фильтров на траекториях между источником и целью правила. Дл> запрещающих правил предикат должен быть рассчитан.

Задачу эффективного распределения правил можно определить следующим образом:

1. Построение предикатов распределения правил. Для этого для каждого правила 1 порядке обратного обхода дерева правил выполняются следующие действия:

- по модели сети рассчитывается множество траекторий между источником и целы«, правила с учетом остальных параметров правила;

- на основе множества траекторий достижимости строится специальный орграф отображающий достижимость между узлами. В качестве узлов в орграф включаются узль источник и цели достижимости и узлы МЭ, соответствующие траекториям достижимости между узлами источника и цели;

- по графу достижимости рассчитывается предикат распределения правила.

2. Расчет эффективного распределения правил, основанный на:

- списке правил, полученном путем обратного обхода дерева правил разграничения доступа, что гарантирует согласованность правил в списке;

- предикатах распределения, рассчитанных для каждого правила, на предыдущем шаге метода;

- параметрах средней сетевой нагрузки для межсетевых экранов в сети, при проведении экспериментальных исследований метода параметры сетевой нагрузки для МЭ выбирались из множества {низкая, средняя, высокая};

- параметрах зависимости возникновения отказа в обслуживании для МЭ от сетевой нагрузки и количества используемых правил для каждого типа МЭ в сети. Параметры зависимости возникновения отказа в обслуживании для МЭ выражаются в

роговом значении количества используемых правил для МЭ и зависимости падения оизводительности МЭ при превышении порогового значения правил от нагрузки на МЭ. В боте представлено исследование зависимости производительности различных типов МЭ в висимости от количества правил. Данные значения используются в модели сети.

Таким образом, нелепую функцию оценки распределения правил фильтрации можно ределить в виде:

£ К (С, - Я, )2 • Ьеау^ик (С, - Я,)) ,

(

где - весовой коэффициент МЭ, который зависит от его типа и сетевой нагрузки; С, — реальное количество правил на ¡-ом фильтре;

Б; - пороговое значения количества правил на ¡-ом фильтре, которое зависит от типа ильтра и сетевой нагрузки;

кеа\у$1с1е{х)\ ' - пороговый метод.

(0,*<0

5. Построение модели фактической достижимости для защищаемой сети. Фактическое разграничение доступа в сети Су, оперирует тем же множеством ■ршин (оконечных точек), что и заданное разграничение доступа. Алгоритм, представленный третьей главе работы, на основе модели сети и множеств правил фильтрации, рассчитанных а предыдущем шаге метода, определяет фактическое разграничение доступа.

Основное условие корректности разработанного метода расчета правил фильтрации -венство заданного и фактического разграничения доступа по результатам расчета правил

ильтрации: (г? = Су.

В третьей главе представлены алгоритмы, реализующие метод автоматического остроения правил.

В первой части данной главы представлены алгоритмы расчета заданного и фактического граничения доступа в сети, алгоритмы формирования дерева ПРД. Алгоритм расчета заданного разграничения доступа определяет необходимость двойного жода дерева правил. Первый обход дерева необходим для формирования множества конечных точек для графа достижимости. С помощью второго обхода дерева формируются обра графа, отображающие доступ в сети. Алгоритм определяет повторный обход дерева в 'ратном порядке, что позволяет быстрее сформировать множество ребер графа, азработанные алгоритмы построения и обхода дерева ПРД позволяют разрешать вникающие противоречия между ПРД, что гарантирует согласованность рассчитываемых в юге правил фильтрации.

Во второй части представлены разработанные алгоритмы минимизации множества равил: алгоритм устранения неиспользуемых правил, алгоритмы сложения и вычитания ножества правил разграничения доступа. Входным параметром данных алгоритмов является

дерево ПРД. Результатом работы алгоритмов также является дерево ПРД, выражающее то ж разграничение доступа, но содержащее меньшее количество правил.

1. Сложение правил в дереве. Некоторые из правил в дереве могут быть заменены один суммарным правилом при сохранении того же разграничения доступа. Главным условие возможности сложения правил является тот факт, что узлы дерева, соответствующи слагаемым правилам, должны быть братьями. В работе представлен весь набор у слови сложения пары правил. Показана целесообразность применять операции сложения различным сочетаниям правил. Разработан соответствующий алгоритм.

2. Вычитание правил в дереве. Любое правило может быть исключено из дерева (пр сохранении того же разграничения доступа), путем его вычитания из родительского правил; При этом родительское правило должно быть разбито на подправила таким образом, чтоб! выделить подправило, равное своими параметрами вычитаемому правилу. Ввиду специфик СЛЕЖ-арифметики (используемых для обозначения источников и целей в правила фильтрации), вычитание одного правила из другого может оказаться нецелесообразным плане уменьшения их общего количества. В представленной работе показано, что необходим проверять целесообразность вычитания из родительского правила различных сочетани правил дочерних ухчов в дереве и разработан соответствующий алгоритм.

В третьей части представлены разработанный алгоритмы расчета предикат распределения для правил и расчета эффективного распределения правил.

Алгоритм расчета предиката распределения основан на представлении траекторий межд оконечными точками правила в виде графа, включающего в себя точку-источник, точку-цел правила, множества МЭ на траекториях и множество связей для данных узлов. Данный гра( позволяет рассчитать предикат распределения правил. Пример расчета предикат распределения правила представлен на рисунке 2.

Рисунок 2 - Последовательность расчета предиката распределения правила

В итоге полученный предикат: V (Г 2 л /-'3) V ^4) отображает три равнозначны, варианта распределения правила. Правило должно быть включено либо в список прави.* фильтра П, либо в списки правил фильтров Р2 и 1'3, либо список фильтра Р4.

п

Количество вариантов размещения правил определяется как ПА',, где п — количеств

правил, К,- количество вариантов распределения ¡-го правила. Таким образом, при средне.\ количества вариантов распределения правил больше единицы общее количество варианта распределения экспоненциально зависит от количества правил. Целью алгоритма выбор' эффективного распределения является минимизация данной целевой функции

Задача расчета эффективного распределения правил может быть рассчитана с помощьи различных алгоритмов оптимизации. Поиск наилучшего алгоритма не входит в рамки данноп исследования, так как оптимизации расчетов распределения правил по времени не критична I

псах поставленных задач работы. Для решения задачи распределения правил предложено пользовать генетический алгоритм, который способен дать приемлемый результат за анное время. Источником данных для разрабатываемого алгоритма является список ПРД, лученный путем обратного обхода дерева ПРД и соответствующие правилам предикаты спределения между МЭ в сети. Для разработанного алгоритма введены следующие ределения:

- конкретный вариант распределения множества ПРД будет представлять собой ом ос ому;

- генами являются варианты выбора распределения для каждого ПРД;

- особями в данном случае являются одиночные хромосомы;

- популяцию будет составлять текущее множество вариантов размещения множества Д (хромосом);

- начальная популяция будет формироваться случайным образом на основании южества предикатов распределения правил;

- скрещивание определено как получение нового распределения правил (хромосомы) лько на основе скрещиваемых вариантов распределения правил (хромосом);

- мутация определена как случайное изменение варианта распределения для одного или скольких правил в множестве в рамках соответствующих правилам предикатов спределения.

Разработанный алгоритм расчета эффективного распределения ПРД также решает задачу нтроля непротиворечивости для рассчитанных множеств правил фильтраций.

В четвертой главе рассматриваются общие вопросы практической реализации и едрения разработанного метода и алгоритмов, экспериментальные исследования работанного метода и результаты сравнения с имеющимися аналогами.

Представленные в работе результаты проведенных экспериментов показали лесообразность применения разработанного метода. Основные положения предложенной >тодики экспериментальной оценки методов заключаются в следующем:

- проведение экспериментов на автоматически построенных моделях сети с заданными Iраметрами. Такой подход выбран в связи с отсутствием возможности получения формации о достаточном количестве реатьных сетей. Оценка работоспособности и )фективности методов были проведены на 10000 автоматически построенных моделях ЛВС;

- автоматическая генерация требуемого разграничения доступа для сети. Проводить ■ граничение доступа вручную для большого количества сетей не представляется >зможным;

- автоматическая генерация ошибок несогласованности и избыточности при генерации играничения доступа в объемах, соответствующих исследованиям реальных конфигураций >авил.

Результатами проведения экспериментальных оценок являются следующие положения:

1. Разработанным методом автоматического построения правил фильтрации были шаружены все автоматически сгенерированные ошибки несогласованности и избыточности эавил во всех проведенных экспериментах.

2. Для всех проведенных экспериментов фактическое разграничение доступа, рмируемое рассчитанными правилами фильтрации МЭ, совпало с требуемым

ограничением доступа.

3. Время, затрачиваемое на расчет и поиск эффективного распределения правил, в )еднем не превышает 1400 секунд. На рисунке 3 представлены результаты оценки временных трат на выполнение метода для модели сети, состоящей из 1000 узлов, 20 МЭ для разного шичества правил разграничения доступа. При этом для всех МЭ были сформированы связи с сетью другими МЭ в сети, что позволяет создать множество траекторий достижимости

между узлами. Основные параметры компьютера на котором были проведены эксперимент) процессор AMD Athlon 64 Х2 Dual Core 3800+ 2.00 ГГц, установленная память (ОЗУ) 2,00 1 б

1348

762

304

21 42 117 .

I 1

100 500 1000 3000 5000 7000 10000 Количество правил

Рисунок 3 - Результаты оценки временных затрат на выполнение метода

4. Проведенная оценка распределения правил представлена на рисунке 4. При проведен и данного эксперимента, на расчет распределения было отведено не более пяти минут в! зависимости от сложности топологии защищаемой сети и количества правил, которь необходимо распределить. Представленная на рисунке 4 диаграмма отображает зависимое! процентного соотношения экспериментов, для которых рассчитанное распределение оказалос эффективным от количества правил. Данный эксперимент показывает, для какого продет случаев удалось свести целевую функцию распределения к нулю, то есть гарантирован устойчивость всех фильтров к ошибкам отказа в обслуживании.

Рисунок 4 - Результаты оценки распределения правил за ограниченное время

Экспериментальное сравнение разработанной программы, реализующей предложении метод, с аналогами показало, что метод решает большее число поставленных задач з сравнимое время.

В заключение диссертации изложены основные выводы, обобщения и предложена вытекающие из логики результатов исследования.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Разработан новый метод автоматического построения правил фильтрации адекватных заданному разграничению доступа, в рамках которого были решены все поставленные задачи. Разработанный метод позволяет повысить безопасность и отказоустойчивость для сетей, использующих межсетевые экраны.

2. Разработана статическая модель сети и на ее основе разработаны новая модель представления политики разграничения доступа в сети и алгоритмы построения данной модели. Модель позволяет выявлять факты несоответствия фактического разграничения доступа в сети заданному политикой безопасности.

3. Разработаны новые алгоритмы обнаружения и устранения проблем согласованности избыточности правил фильтрации, которые в отличие от известных имеют

огарифмический порядок сложности.

4. Разработана модель распределения правил разграничения доступа в сети и алгоритм асчета эффективного распределения правил фильтрации, который впервые учитывает ависимость производительности межсетевых экранов от количества используемых правил и озволяют предотвратить отказы в обслуживания для них.

5. Разработан алгоритм проверки адекватности рассчитанных правил фильтрации аданной политике разграничения доступа в сети, который позволяет верифицировать езультаты расчета правил.

6. На основе разработанной методики получены результаты экспериментальных ценок разработанного метода, которые подтвердили соответствие рассчитываемых правил ильтрации требованию адекватности заданной политике разграничения доступа, езультаты экспериментальной оценки показали, что в 80% случаев для расчета адекватных эффективно распределенных правил фильтрации достаточно не более 3 минут. Сравнение

кспериментальных оценок разработанного метода с аналогами показало его высокую роизводительность.

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

Публикации в ведущих рецензируемых изданиях, рекомендуемых ВАК РФ

1. Мордвин Д.В., Абрамов Е.С. Разработка инструментальных средств для оделирования ЛВС // «Известия ЮФУ. Технические науки». Тематический выпуск

(Информационная безопасность». - Таганрог: Изд-во ТТИ ЮФУ, 2007. - № 1 (76). - С. 113116.

2. Мордвин Д.В., Абрамов Е.С. Применение моделирования обработки сетевого трафика ля повышения безопасности ЛВС // «Известия ЮФУ. Технические науки». Тематический

выпуск «Информационная безопасность». - Таганрог: Изд-во ТТИ ЮФУ, 2008. - № 8 (85). -С. 126-130.

Публикации в других изданиях

3. Мордвин Д.В., Абрамов Е.С. Создание ложных информационных объектов для противодействия атакам в ЛВС II Материалы X Международной научно-практической конференции «Информационная безопасность». - Таганрог: Изд-во ТТИ ЮФУ, 2008. - С. 224 -227.

4. Мордвин Д.В., Абрамов Е.С. Использование виртуальной имитационной сети для противодействия атакам в ЛВС // Сборник трудов VII Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых «Молодежь и современные информационные технологии». - Томск: Изд-во СПБ Графике, 2009. - С. 45 - 47.

5. Мордвин Д.В. Средство имитации успеха вторжения // IV ежегодная научная конференция студентов и аспирантов базовых кафедр Южного научного центра РАН. Росгов-на-Дону: Изд-во ЮНЦ РАН, 2008. - С. 105 - 106.

6. Мордвин Д.В. Разработка метода имитации успеха вторжения и противоправных действий в локальной сети // Инновационные технологии XXI века в управлении информатике и образовании: I Всероссийская научно-практическая конференция студентов, аспирантов и молодых ученых, Сборник тезисов. - Нальчик: Изд-во М. и В. Котлеровых, 2008.

7. Мордвин Д.В., Абрамов Е.С., Андреев A.B. Методы автоматизации построения правил фильтрации сетевого трафика // Материалы XI международной научно-практической

конференции «Информационная безопасность». - Таганрог: Изд-во ТТИ ЮФУ, 2010. - С. 51.

8. Мордвин Д.В., Абрамов Е.С., Андреев A.B. Метод и алгоритмы построения пра разграничения доступа между узлами сети // Материалы XI международной науч практической конференции «Информационная безопасность-2010». - Таганрог: Изд-во Т ЮФУ, 2010.-С. 52-57.

9. Мордвин Д.В., Абрамов Е.С., Сидоров И.Д. Метод расчета субоптимальн распределения правил фильтрации по сети для заданного разграничения доступа в сеэт Материалы XI международной научно-практической конференции «Информацион безопасность». - Таганрог: Изд-во ТТИ ЮФУ, 2010. - С. 57-61.

10. Mordvin D.V. Abramov E.S., Makarevich O.B. Automated method for constructing network traffic filtering rules // SIN'10 Proceedings of the 3rd International Conference of Secu of Information and Networks, ISBN: 978-1-4503-0234-0, New York 2010 г. c. 203 -211.

11. Мордвин Д.В., Абрамов E.C., Сидоров И.Д., Андреев A.B. Метод автоматизированного построения правил фильтрации сетевого трафика // Материалы международной научно-технической конференции «Кибернетика и высокие технологии века». - Воронеж: НПФ "Саквоее", 2010. - С. 728-741.

ЛР № 020565 от 23.06.97 г.

Подписано в печать 27.10.10. формат 60x84 1/16 Бумага офсетная. Печать офсетная. Усл. п.л. -1 Тираж 120 экз. Заказ № "С"

Издательство Технологического института Южного федерального университета в г. Таганроге Таганрог, 28, Некрасовский, 44. Зак. №_. Тираж 120 экз.

ВВЕДЕНИЕ.

1. АНАЛИЗ МЕТОДОВ ПОСТРОЕНИЯ И ОЦЕНКИ НАБОРОВ ПРАВИЛ МЕЖСЕТЕВЫХ ЭКРАНОВ.

1.1 Основные понятия.

1.1.1 Компьютерная сеть.

1.1.2 Адресация в сети.

1.1.3 Бесклассовая адресация в сети.

1.1.4 Межсетевые экраны.

1.1.5 Пакетная фильтрация.

1.1.6 Маршрутизация.

1.2 Обзор проблем конфигурирования правил фильтрации.

1.2.1 Основные проблемы разработки правил фильтрации.

1.2.2 Проблема противоречий в списках правил.

1.2.3 Противоречия в списке правил для одного фильтра в сети.

1.2.3.1 Затенение.

1.2.3.2 Обобщение.

1.2.3.3 Пересечение.

1.2.4 Противоречия для правил в последовательных цепочках МЭ в-сети.

1.2.5 Противоречия для правил в параллельных цепочках МЭ в сети.

1.2.6 Проблема избыточности правил.

1.2.6.1 Неиспользуемые правила.

1.2.6.2 Многословность.

1.2.3 Количественные показатели противоречий для списков правил.

1.2.4 Избыточное распределение правил.

1.3 Анализ существующих подходов к построению правил фильтрации.

1.3.1 Построение правил фильтрации вручную.

1.3.2 Автоматизированная проверка конфигурации правил фильтрации МЭ.

1.3.3 Автоматизированное построение правил фильтрации для сети.

1.4 Постановка основных задач работы.

1.5 Выводы.

2 РАЗРАБОТКА МЕТОДА ПОСТРОЕНИЯ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ

ЭКРАНОВ, АДКВАТНЫХ ЗАДАННОЙ ПОЛИТИКЕ РАЗГРАНИЧЕНИЯ ДОСТУПА „.

2.1 Общее определение метода.

2.2 Построение модели защищаемой сети.33

2.2.1 Представление основных характеристик ЛВС в модели.

2.2.2 Математическая модель сети.

2.3 Построение модели представления заданной политики разграничения доступа.

2.3.1 Правила разграничения доступа.

2.3.2 Список правил разграничения доступа.

2.3.3 Противоречия для списков правил разграничения доступа.

2.3.4 Отображение заданной политики разграничения доступа в сети.

2.3.5 Разработка структуры представления правил разграничения доступа.

2.4 Минимизация множества правил политики разграничения доступа.

2.4.1 Операция устранения неиспользуемых правил.

2.4.2 Операция вычитания правил.

2.4.3 Операция сложения правил.

2.5 Расчет эффективного распределения множества правил фильтрации для МЭ в сети

2.6 Расчет фактического разграничения достижимости.

2.7 Выводы.

3. РАЗРАБОТКА АЛГОРИТМОВ ДЛЯ МЕТОДА АВТОМАТИЧЕСКОГО ПОСТРОЕНИЯ ПРАВИЛ ФИЛЬТРАЦИИ МЕЖСЕТЕВЫХ ЭКРАНОВ.

3.1 Разработка алгоритма расчета достижимости между узлами.

3.2 Разработка алгоритмов построения и обработки дерева ПРД.

3.3 Разработка алгоритмов минимизации правил политики разграничения доступа.

3.3.1 Удаление неиспользуемых правил для политики разграничения доступа.

3.3.2 Удаление многословности в дереве правил разграничения доступа.

3.3.3 Разработка алгоритма вычитания набора правил разграничения доступа.

3.3.6 Разработка алгоритма сложения набора правил разграничения доступа.

3.4 Разработка алгоритма расчета возможностей распределение правил фильтрации

3.4.1 Представление возможностей распределение правил.

3.4.2 Разработка алгоритма расчета таблицы предикатов распределения правил.

3.5 Разработка алгоритма расчета эффективного распределения правил фильтрации для заданного разграничения доступа.

3.6 Выводы.

4. ПРОГРАММНАЯ РЕАЛИЗАЦИЯ МЕТОДА ПОСТРОЕНИЯ ПРАВИЛ, ЭКСПЕРИМЕНТАЛЬНОЕ ИССЛЕДОВАНИЕ И СРАВНЕНИЕ С АНАЛОГАМИ.

4.1 Описание программной реализации модулей.

4.1.1 Особенности программной реализации дерева ПРД.

4.1.2 Особенности программной реализации матрицы требуемой достижимости.

4.1.3 Особенности программной реализации метода распределения правил.

4.2 Экспериментальное исследование программной реализации разработанного метода99 Основные параметры компьютера на котором были проведены эксперименты: процессор

AMD Athlon 64 Х2 Dual Core 3800+ 2.00 ГГц, установленная память (ОЗУ) 2,00 Гб.

4.2.1 Методика проведения экспериментальных исследований программной реализации разработанного метода.

4.2.2 Разработка принципов автоматического построения ЛВС.

4.2.3 Исследование работоспособности разработанного метода.

4.2.4 Исследование алгоритмов минимизации заданного набора правил.

4.2.5 Исследование алгоритма эффективного распределения правил.

4.3 Сравнение с аналогами.

4.3.1 Обзор аналогов и сравнение функциональных возможностей.

4.3.2 Экспериментальное сравнение с аналогами.

4.4 Выводы.

Актуальность темы исследования

Межсетевые экраны (МЭ) - программные или программно-аппаратные средства, предназначенные для создания защищенного периметра ЛВС организации с контролируемыми точками входа и защищенного подключения корпоративной сети к сетям общего пользования. Также МЭ выполняют функции разграничения доступа к ресурсам внутри корпоративной сети и обеспечения контроля информационных потоков между различными сегментами сети.

Функции МЭ могут быть реализованы его различными компонентами, такими как пакетный фильтр, шлюз сеансового уровня, шлюз уровня приложений. Данная работа посвящена исследованию пакетных фильтров. В дальнейшем, под термином межсетевой экран будет подразумеваться именно пакетный фильтр и его особенности.

Пакетный фильтр пропускает через себя весь трафик, принимая для каждого проходящего пакета решение, пропускать его или нет на основании списка правил фильтрации. Правила фильтрации — правила МЭ, которые определяют возможность прохождения через данный МЭ сетевого трафика с заданными параметрами. Основными параметрами трафика, по которым происходит фильтрация, являются сетевые адреса источника и цели пакетов трафика, сетевые порты источника и цели, протокол передачи трафика.

Правила фильтрации межсетевых экранов в сети должны выражать политику разграничения доступа на сетевом уровне. Такая политика определяет возможность прохождения сетевого трафика между всеми узлами сети. Как было сказано, в сети данная политика выражается множеством распределенных правил фильтрации трафика. С другой стороны данная политика может быть логически представлена единым множеством правил, независимых от МЭ. В данной работе такие правила названы правилами политики разграничения доступа.

Построение правил фильтрации для МЭ в сети является важным этапом обеспечения сетевой безопасности. Такая задача возлагается на специалистов, знающих особенности защищаемой сети и используемых межсетевых экранов.

Сложность задачи построения правил фильтрации определяется следующими факторами:

- количество узлов в сети, между которыми необходимо разграничить доступ определяет необходимое количество правил;

- узлы сети, которыми оперируют правила, могут быть как отдельными узлами, так и диапазонами узлов, которые в свою очередь могут содержать другие узлы и их диапазоны. Иерархичность определения узлов с одной стороны позволяет уменьшить необходимое количество правил, но с другой стороны может привести к противоречиям между правилами;

- маршрутизация и топология сети определяют траектории достижимости между узлами сети. Траектории между узлами определяют множество МЭ, в списки которых могут быть добавлены соответствующие правила. Количество траекторий определяют сложность распределения правил между МЭ;

- сложность верификации политики разграничения в сети. Процедура проведения верификации разграничения доступа на сетевом уровне не стандартизирована, требует больших временных затрат;

- различия синтаксиса правил для МЭ разных производителей. Специалист должен рзнать особенности конфигурирования всех МЭ, используемых в сети.

Сложность построения списков правил фильтрации приводит к проблемам конфигурирования правил, которые включают в себя проблемы несогласованности и избыточности правил. Под несогласованностью правил понимаются такие противоречия правил, когда результат фильтрации трафика зависит от порядка определенного подмножества правил. Несогласованность правил может приводить к ошибкам первого и второго рода для МЭ и, таким образом, неверному разграничению доступа в сети. Под избыточностью правил понимается проблема использования большего количества правил фильтрации для выражения политики разграничения доступа там, где можно использовать их меньшее количество.

В работе "Исследование количественных показателей для ошибок конфигурирования межсетевых экранов" автором, известным специалистом по МЭ Авишай Вулом, проведено исследование множества межсетевых экранов в локальных сетях различных предприятий и установлено, что все межсетевые экраны имели ошибки конфигурирования и были уязвимы.

Результаты исследования противоречий для конфигураций МЭ специалистами Университета Северной Каролины показали, что для правил фильтрации, разработанных экспертами характерны в среднем 3% проблем несогласованности и 5% проблем избыточности. Для опытных специалистов доля несогласованности правил составляет 4% от их общего количества, избыточности - 9%. Для правил, разработанных начинающими специалистами, характерны в среднем 13% проблем несогласованности и 12% проблем избыточности. Также в работе показана зависимость производительности межсетевых экранов от количества используемых правил, которая свидетельствует о возможностях отказов в обслуживании межсетевых экранов при избыточном использовании правил.

Проблематикой конфигурирования правил фильтрации занимаются многие ученные и специалисты из разных стран:

Ehab S. Al-Shaer - ассоциированный профессор университета Северной Каролины [3-12]

Wool - профессор университета Тель-Авива [1, 13, 14]

R. Oliveira - профессор университета Карнеги Мелон [15, 16]

J. G. Alfaro - Картлонский Университет Оттавы [17-19]

Robert Marmorstein - ассоциированный профессор Лонгвудского университета [20-22]

Mohamed G. Gouda - профессор Техасского Университета [23-26]

Е. Lupu - Королевский колледж Лондона [27, 28]

Pasi Eronen - исследовательский центр Нокия, Хельсинки [29]

L. A. Lymberopoulos - PhD, Королевский колледж Лондона [30]

Tony Bourdier - докторант университета Нанси, Франция [31]

Susan Hinrichs - PhD, Университет Карнеги Мелон [32]

Maritza Johnson - PhD, Колумбийский Университет [33]

Subhash Suri - профессор Калифорнийского Университета [34]

Для решения проблем конфигурирования правил этими авторами разработаны методы автоматического анализа и построения списков правил фильтрации МЭ.

Входными параметрами методов автоматического анализа правил являются топология защищаемой сети и списки используемых правил фильтрации. Результатом работы методов являются наборы рекомендаций, на основе которых должны быть вручную внесены корректировки для существующих правил. Основным недостатком данных методов является отсутствие возможности проверки разграничения доступа, формируемого правилами. Также можно выделить следующие недостатки: необходимость разработки правил вручную; отсутствие возможности автоматического исправления ошибок для правил; частичное обнаружение ошибок согласованности правил; итеративность процесса корректировки правил, то есть после внесения каждого исправления в правила необходима их повторная проверка анализатором.

Отсутствие возможности проверки разграничения доступа,. образуемого правилами фильтрации, для существующих методов анализа правил обусловлено отсутствием информации о заданной политике разграничении доступа в сети.

Использование информации о политике разграничении доступа в сети в качестве основополагающей для правил фильтрации привело к появлению методов автоматического построения правил. Такие методы позволяют рассчитать правила фильтрации МЭ, распределить их в сети по заданной политике разграничения доступа.

В данной работе вводится понятие адекватности правил фильтрации заданной политике разграничения доступа, которое выступает основным критерием качества правил фильтрации. Под адекватностью правил фильтрации в данной работе понимается однозначное соответствие списков правил фильтрации распределенных в сети МЭ политике разграничения доступа в сети. Главным условием адекватности правил фильтрации политике является непротиворечивость самой политики. Если политика неоднозначно определяет разграничение доступа, то и рассчитанные по такой политике правила будут неоднозначны. Вторым условием адекватности правил является согласованность правил фильтрации как внутри списка одного МЭ так и между различными МЭ в сети. Таким образом, для правил фильтрации должны быть устранены ошибки несогласованности. Только при соблюдении данных условий рассчитанные правила могут быть адекватны политике. Адекватность правил должна быть верифицирована путем сравнения заданной политики разграничения доступа с фактической политикой, формируемой правилами фильтрации в сети.

Вторым критерием качества правил фильтрации выступает эффективность их распределения между множеством МЭ в сети. Под эффективностью распределения правил понимается такое распределение правил между МЭ, при котором в список правил каждого МЭ будет включено такое количество правил, при котором МЭ способен обеспечить требуемую производительность. Под производительностью МЭ понимается количество данных, обрабатываемых МЭ в секунду. Производительность МЭ зависит от используемого количества правил. При превышении некоторого порогового значения количества используемых правил, МЭ не может поддерживать требуемую производительность, что приводит к его отказам в обслуживании. Под отказами в обслуживании понимаются потери пакетов на МЭ,-либо пропуск необработанных пакетов. В первом случае будет получено снижение производительности сети в целом, во втором случае - нарушение политики разграничения доступа. Избыточность между правилами усложняет расчет их эффективного распределения и должна быть предварительно устранена.

Существующие методы автоматического построения правил не отвечают критериям адекватности правил и эффективности их распределения. Таким образом, актуальной является задача разработки методов и алгоритмов автоматического построения правил фильтрации МЭ, не имеющих данных недостатков.

Целью работы является разработка и исследование методов и алгоритмов построения правил фильтрации межсетевых экранов, адекватных заданной политике разграничения доступа. Исходя из основной цели данной работы, определяется перечень решаемых задач:

1. Разработка модели представления сети.

2. Разработка модели представления политики разграничения доступа в сети и алгоритмов построения данной модели.

3. Разработка и исследование алгоритмов обнаружения и устранения проблем согласованности и избыточности для правил разграничения доступа.

4. Разработка модели распределения правил разграничения доступа в сети и алгоритма расчета эффективного распределения множества правил фильтрации между межсетевыми экранами в сети.

5. Разработка алгоритма проверки адекватности рассчитанных правил фильтрации заданной политике разграничения доступа в сети.

6. Разработка методики экспериментальной оценки метода построения правил фильтрации.

В рамках исследования используются методы теории вычислительных систем и сетей, теории множеств, теории графов, теории математического моделирования, генетических алгоритмов.

Объектом исследования является фильтрация трафика в локальных сетях.

Предметом исследования являются методы и алгоритмы построения правил фильтрации трафика.

Научная новизна работы заключается в следующем:

1. Разработан новый метод автоматического построения правил фильтрации для межсетевых экранов, который использует ориентированное дерево правил для представления политики разграничения доступа. Данный метод позволяет устранить проблемы несогласованности и избыточности для правил заданной политики разграничения доступа в сети. Непротиворечивое представление политики разграничения доступа в сети позволяет рассчитать адекватное и согласованное множество правил фильтрации МЭ.

2. Разработаны новые алгоритмы обнаружения и устранения проблем несогласованности и избыточности для правил разграничения доступа в сети, которые имеют логарифмический порядок сложности.

3. Разработан алгоритм расчета эффективного распределения правил фильтрации в сети, который впервые учитывает зависимость производительности МЭ от количества используемых правил и позволяет предотвратить отказы в обслуживании для МЭ.

Практическая ценность полученных автором результатов a. Разработанный метод построения правил фильтрации позволяют автоматически рассчитать множество согласованных и эффективно распределенных правил фильтрации для МЭ в сети для обеспечения заданной политики разграничения доступа на сетевом уровне. b. Разработана статическая модель сети, которая позволяет рассчитать и представить как заданное, так и фактическое разграничение доступа в сети. c. Разработаны новые алгоритмы, реализующие операции сложения и вычитания множеств правил фильтрации, которые впервые позволяют устранять такой тип избыточности правил, как 9 многословностъ. Разработанные алгоритмы могут быть использованы совместно с различными существующими методами анализа и построения правил фильтрации.

Основные положения, выносимые на защиту

1. Разработанный метод автоматического построения правил фильтрации межсетевых экранов позволяет обнаружить и устранить несогласованность и избыточность для правил, выражающих заданную политику разграничения доступа в сети.

2. Разработанный метод автоматического построения правил фильтрации межсетевых экранов позволяет рассчитать множество непротиворечивых правил фильтрации для межсетевых экранов в сети, адекватных заданной политике разграничения доступа.

3. Разработанный метод автоматического построения правил фильтрации межсетевых экранов позволяет предотвратить отказы в обслуживании для межсетевых экранов, распределяя правила фильтрации между ними с учетом их сетевой нагрузки и производительности.

Использование результатов. Основные результаты исследований были использованы на кафедре Безопасности информационных технологий ТТИ ЮФУ при проведении следующих научно-исследовательских и опытно-конструкторских работ: "Неман", "Центр-1 ТИ".

Достоверность полученных результатов подтверждается строгостью математических выкладок, результатами экспериментов с разработанными программными реализациями.

Апробация работы. По теме диссертации опубликовано 11 научных статей и тезисов докладов, из них в журналах, рекомендуемых ВАК - 2. Основные результаты, полученные в ходе работы над диссертацией, были представлены на:

1. VII Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых «Молодежь и современные информационные технологии». Томск, 2009 г.

2. XI международной научно-технической конференции «Кибернетика и высокие технологии XXI века», Воронеж, 2010 г.

3. XI международной научно-практической конференции «Информационная безопасность-2010», Таганрог, 2010 г.

4. The 3rd International Conference of Security of Information and Networks (SIN'10), Таганрог, 2010 г.

4.4 Выводы

В данной главе рассмотрены основные моменты реализации программы, особенности реализации отдельных её частей. Основной упор в реализации сделан на производительность программы, использование только стандартных и проверенных библиотек и технологий.

Проведены эксперименты с разработанной программой, • позволяющие сделать положительные выводы о:

• работоспособности программы;

• приемлемой производительности программы для практического использования;

• целесообразности использования программы;

Приведен обзор и анализ аналогов данной разработки, который позволяет сделать несколько выводов:

• Существующие аналоги, позволяющие решать задачу автоматизированного построения разграничения доступа, существенно уступают в функциональности программе, основанной на разработанном методе.

• Разработанная программа не уступает в производительности аналогом при'решении

114 задачи анализа и модификации существующих правил, при этом позволяет автоматически получить согласованные и безызбыточные правила за один этап анализа правил.

ЗАКЛЮЧЕНИЕ

В соответствии с поставленными целями, в итоге проведенных исследований и разработок были получены следующие основные результаты:

1. Разработан новый метод автоматического построения правил фильтрации адекватных заданному разграничению доступа, в рамках которого были решены все поставленные задачи. Разработанный метод позволяет повысить безопасность и отказоустойчивость для сетей, использующих межсетевые экраны.

2. Разработана статическая модель сети и на ее основе разработаны новая модель представления политики разграничения доступа в сети и алгоритмы построения данной модели. Модель позволяет выявлять факты несоответствия фактического разграничения доступа в сети заданному политикой безопасности.

3. Разработаны новые алгоритмы обнаружения и устранения проблем согласованности и избыточности правил фильтрации, которые в отличие от известных имеют логарифмический порядок сложности.

4. Разработана модель распределения правил разграничения доступа в сети и алгоритм расчета эффективного распределения правил фильтрации, который впервые учитывает зависимость производительности межсетевых экранов от количества используемых правил и позволяют предотвратить отказы в обслуживания для них.

5. Разработан алгоритм проверки адекватности рассчитанных правил фильтрации заданной политике разграничения доступа в сети, который позволяет верифицировать результаты расчета правил.

6. На основе разработанной методики получены результаты экспериментальных оценок разработанного метода, которые подтвердили соответствие рассчитываемых правил фильтрации требованию адекватности заданной политике разграничения доступа. Результаты экспериментальной оценки показали, что в 80% случаев для расчета адекватных и эффективно распределенных правил фильтрации достаточно не более 3 минут. Сравнение экспериментальных оценок разработанного метода с аналогами показало его высокую производительность.

1. A. Wool. A quantitative study of firewall configuration errors. // IEEE Computer Society, Vol. 37, 2004. C. 62-67.

2. Firewall wizards security mailing list. Электронный ресурс. / Режим доступа: http://honor.icsalabs.com/mailman/listinfo/firewall-wizards свободный. — Загл. с экрана.

3. Ehab S. Al-Shaer, Hazem H. Hamed. Firewall Policy advisor for anomaly discovery and rule editing. // Integrated Network Management, 2003, C. 17-30.

4. Ehab S. Al-Shaer, Hazem H. Hamed. Design and Implementation of Firewall Policy Advisor Tools. Электронный ресурс. / Режим доступа: http://facweb.cs.depaul.edu/research/TechReports/TR04-011.pdf свободный. - Загл. с экрана.

5. Ehab Al-Shaer, Hazem Hamed, Raouf Boutaba, M. Hasan. Conflict Classification and Analysis of Distributed Firewall Policies. // IEEE Journal on Selected Areas in Communications 23(10), 2005. C. 2069-2084.

6. Ehab S. Al-Shaer, Hazem H. Hamed. Discovery of Policy Anomalies in Distributed Firewalls. // In Proc. 23rd Conf. IEEE Communications Soc. (INFOCOM, 2004), Vol. 23, №1, Chicago, USA, 2004,-C. 2605-2616.

7. Ehab S. Al-Shaer, Hazem H. Hamed. Modeling and Management of Firewall Policies. // IEEE Trans. Network and Service Management, Vol. 1, Apr 2004. C. 2-10.

8. Adel El-Atawy, Taghrid Samak, Zein Wali, Ehab Al-Shaer, Frank Lin, Christopher Pham, Sheng Li. An Automated Framework for Validating Firewall Policy Enforcement. // POLICY, 2007, -C. 151-160.

9. Tung Tran, Ehab S. Al-Shaer, Raouf Boutaba. Policy Vis Firewall Security Policy Visualization and Inspection. // LISA, 2007. C. 1-16.

10. Korosh Golnabi, Richard K. Min, Latifur Khan, Ehab Al-Shaer. Analysis of Firewall Policy Rules Using Data Mining Techniques. //NOMS, 2006. С. 305-315.

11. Ehab S. Al-Shaer, Hazem H. Hamed. Management and Translation of Filtering Security Policies. // In Proc. IEEE International Conference, Vol. 1, 2003. C. 256-260.

12. Hazem Hamed and Ehab Al-Shaer. Taxonomy of Conflicts in Network Security Policies. // In Proc. IEEE Communications Magazine, Vol. 44, No. 3, March 2006. C. 134-141.

13. Alain Mayer, Avishai Wool, Elisha Ziskind. Fang. A firewall analysis engine. // In Proceedings, IEEE Symposium on Security and Privacy, IEEE CS Press, 2000. C. 177-187.

14. Yair Bartal, Alain Mayer, Kobbi Nissim, Avishai Wool. Firmato A Novel Firewall managment tool. // ACM Transactions on Computer Systems, Vol. 22, No. 4. IEEE CS Press, 2004. -C.381-420.

15. R. Oliveira, S. Lee, H. Kim. Automatic detection of firewall misconfigurations using firewall and network routing policies. // Carnegie Mellon University, 2009.

16. Ricardo Oliveira, Sihyung Lee, Hyong S. Kim. Automatic Detection of Firewall Misconfigurations Using Firewall and Network Routing Policies. // Carnegie Mellon University, 2009.

17. J. G. Alfaro, N. Boulahia-Cuppens • F. Cuppens. Complete analysis of configuration rules to guarantee reliable network security policies. // International Journal of Information Security (IJIS), Vol 7, No 2,2008.-C. 103-122.

18. Frederic Cuppens, Nora Cuppens-Boulahia, Joaquin Garcia-Alfaro. Detection and Removal of Firewall Misconfiguration. // Proceedings of the 2005 IASTED International Conference on Communication, Network and Information Security 1, 2005. C. 154-162.

19. J. G. Alfaro, F. Cuppens, N. Cuppens-Boulahia. Management of Exceptions on Access Control Policies. IIIFIP International Federation for Information Processing, Springer Boston, 2007.

20. Robert Marmorstein, Phil Kearns. A Tool for Automated Iptables Firewall Analysis. // USENIX 2005 Annual Technical Conference, FREENIX Track, Anaheim, CA, 2005. C. 71-81.

21. Robert Marmorstein. Formal Analysis of Firewalls. // Department of Math and Computer Science, Longwood University, September 2005.

22. Robert Marmorstein, Phil Kearns. Firewall analysis with policy-based host classification. // Proceedings of the 20th Large Installation System Administration Conference (LISA '06), Washington DC, 2006.-C. 41-51.

23. Alex X. Liul and Mohamed G. Gouda. Complete redundancy detection in firewalls. // Department of Computer Sciences, The University of Texas at Austin, Austin, Texas, USA, 2005.

24. Mohamed G. Gouda, Alex X. Liu. A model of stateful firewalls and its properties. // In Proceedings of the IEEE International Conference on Dependable Systems and Networks (DSN'05), Japan, June 2005.

25. Alex X. Liu, Mohamed G. Gouda, Huibo H. Ma, Anne HH. Ngu. Firewall Queries. // OPODIS 2004, LNCS 3544, Springer-Verlag Berlin Heidelberg, 2005. C. 197-212.

26. H. B. Acharya, Mohamed G. Gouda. Linear-Time Verification of Firewalls. // ICNP 2009: Princeton, USA, 2009. C. 133-140.

27. E. Lupu, M. Sloman. Conflict Analysis for Management Policies. // Proceedings of the fifth IFIP/IEEE international symposium on Integrated network management (IM'97), San-Diego, USA, 1997.-C. 430-443.

28. Arosha К В, Antonis Kakas, Emil С Lupu, Ra Russo. Using Argumentation Logic for Firewall Policy Specification and Analysis. // 17th IFIP/IEEE International Workshop on Distributed Systems: Operations and Management, Dublin, Ireland, 2006, C. 185-196.

29. Pasi Eronen and Jukka Zitting. An Expert System for Analyzing Firewall Rules. // Proc. 6th Nordic Worksh. Secure IT Systems, Technical report IMM-TR-2001-14, Denmark, 2001. C. 100107.

30. Leonidas A. Lymberopoulos. An Adaptive Policy Based Framework for Network Management. // Journal of Network and Systems Management, Vol. 11, 2003. C. 277 - 303.

31. Tony Bourdier. Formal analysis of firewalls using tree automata techniques. // INRIA Nancy Research Center-PAREO Team 615, France, 2010.

32. Susan Hinrichs. Integrating changes to a hierarchical policy model. // In Proceedings of 9th IFIP/IEEE International Symposium on Integrated Network Management, Nice, France, 2005. C. 441-454.

33. Maritza Johnson, John Karat, Clare-Marie Karat, Keith Grueneberg. Optimizing a Policy Authoring Framework for Security and Privacy Policies. // Proceedings of the Sixth Symposium on Usable Privacy and Security, Vol. 485, Article No: 8, July 2010.

34. A. Hari, S. Suri, G. Parulkar. Detecting and Resolving Packet Filter Conflicts. // INFOCOM 2000. Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies, Vol.3, 2000.-C. 1203-1212.

35. Сервер Информационных технологий. Электронный ресурс. / Режим доступа: http://citforum.ru/nets/ip/glava3.shtml свободный. - Загл. с экрана.

36. RFC 4632 Classless Inter-domain Routing (CIDR): The Internet Address Assignment and Aggregation Plan. Электронный ресурс. / Режим доступа: http://t00ls.ietf.0rg/html//rfc4632/ -свободный. - Загл. с экрана.

37. RFC 1817 CIDR and Classful Routing. Электронный ресурс. / Режим доступа: http://www.faqs.org/rfcs/rfcl817.html/ - свободный. - Загл. с экрана.

38. Норберт Польман, Тим Кразер. Архитектура брандмауэров для сетей предприятия, — М.: «Вильяме», 2003

39. С.В. Лебедь. Межсетевое экранирование. Теория и практика защиты внешнего периметра. М.: Изд-во МГТУ им. Н.Э. Баумана. 2002. 304 с.

40. Static routing. Электронный ресурс. / Режим доступа: http://en.wikipedia.org/wiki/Staticrouting/ свободный. - Загл. с экрана.

41. L. Yuan, J. Mai, Z. Su, H. Chen, C. Chuah, and P. Mohapatra. FIREMAN: a toolkit for firewall modeling and analysis. // In Proc. IEEE Symposium on Security and Privacy, 2006. C. 199

42. Т. Uribe, S. Cheung. Automatic analysis of firewall and network intrusion detection system configurations. // Journal of computer security, Vol. 15, 2007. C. 691-715.

43. Официальное руководство no ipset Электронный ресурс. / Режим доступа: http://ipset.netfilter.org/ свободный. — Загл. с экрана.

44. Официальное руководство по iptables (Iptables Tutorial 1.1.19) Электронный ресурс. / Режим доступа: http://www.opennet.ru/docs/RUS/iptables/ свободный. — Загл. с экрана.

45. Jyzsef Kadlecsik, Gyorgy Pasztor // Netfilter Performance Testing Электронный ресурс. / Режим доступа: http://people.netfilter.org/kadlec/nftest.pdf свободный. - Загл. с экрана.

46. Официальный сайт Nmap. Электронный ресурс. / Режим доступа: http://nmap.org/ -свободный. — Загл. с экрана.

47. Официальный сайт Nessus. Электронный ресурс. / Режим доступа: http:// nessus.org/ -свободный. — Загл. с экрана.

48. Sergio Pozo, A.J. Varela-Vaca, Rafael M. Gasca. MDA-Based Framework for Automatic Generation of Consistent Firewall ACLs with NAT. // In Proc. 9th International Conference on Computational Science and Its Applications (ICCSA), Korea, 2009. C. 130-144.

49. Firewall builder. Электронный ресурс. / Режим доступа: http://www.fwbuilder.org/ -свободный. Загл. с экрана.

50. Мордвин Д.В., Абрамов Е.С., Андреев А.В. Методы автоматизации построения правил фильтрации сетевого трафика // Материалы XI международной научно-практической конференции «Информационная безопасность». — Таганрог: Изд-во ТТИ ЮФУ, 2010. С. 4651.

51. Альфред В. Ахо, Джон Э. Хопкрофт, Джеффри Ульман. Структуры данных и алгоритмы. М.: «Вильяме», 2000.

52. А. В. Левитин. Алгоритмы: введение в разработку и анализ. М.: «Вильяме», 2006.

53. Настройка межсетевого экрана Iptables Электронный ресурс. / Режим доступа: http://posix.ru/network/iptables/ свободный. — Загл. с экрана.

54. Classless Inter-Domain Routing. Электронный ресурс. / Режим доступа: http://en.wikipedia.org/wiki/ClasslessInter-DomainRouting свободный. - Загл. с экрана.

55. CIDR notation. Электронный ресурс. / Режим доступа: http://en.wikipedia.org/wiki/CIDRnotation свободный. - Загл. с экрана.

56. Ф. А. Новиков. Дискретная математика для программистов: Учебное издание для вузов. 3-е изд. П.: «Питер», 2008.

57. Rutkowski L., Galkowski Т. On pattern classification and system identification by probabilistic neural networks. // Appl. Math, and Comp. Sei., 1994.

58. Д. Рутковская, М. Пилиньский, Л. Рутковский. Нейронные сети, генетические алгоритмы и нечеткие системы, М.: «Горячая линия - Телеком», Москва 2006.

59. Standard Template Library Programmer's Guide. Электронный ресурс. / Режим доступа: http://www.sgi.com/tech/stl/ свободный. - Загл. с экрана.

60. Boost С++ Libraries. Электронный ресурс. / Режим доступа: http://www.boost.org/ -свободный. — Загл. с экрана.

61. Simplified Wrapper and Interface Generator. Электронный ресурс. / Режим доступа: http://www.swig.org/ свободный. - Загл. с экрана.

62. Ttree.h File Reference. Электронный ресурс. / Режим доступа: http://gift.sourceforge.net/docs/0.11 .x/libgift/tree8h.html/ свободный. — Загл. с экрана.

63. Гамма Э., Хелм Р., Джонсон Р., Влиссидес Д. Приемы объектно-ориентированного проектирования. Паттерны проектирования. П.: «Питер», 2007.